黑客技术入门教程:Win10安全正告：超40个驱动中存在安全漏洞

在核算机中，硬件是软件的基础。而驱动就起着让操作体系知道硬件组件和与之交互的效果。驱动代码可以让操作体系内核和硬件进行通讯，比普通用户和体系管理员的权限要更高一些。
因此，驱动中的缝隙是一个非常严峻的问题，由于一旦被恶意进犯者运用，就可以可以拜访kernel，并获取操作体系的更高权限。关于那些安全意识非常强，但又不想设备专用虚拟机软件（例如VirtualBox、Hyper-V或VMWare等）的用户来说，Windows沙盒就是一个非常志向的替代计划了。
由于驱动也被用来更新硬件固件，因此可以抵达更底层的组件，并批改其作业的 *** ，乃至使其变砖。
比方，BIOS和UEFI固件都是初级的软件可是都是在操作体系发动之前发动的。在这些固件中植入恶意软件的话，大多数安全解决方案都是无法检测和移除的，乃至重装体系也无法移除。
驱动是不安全
Eclypsium安全研讨人员研讨发现，有超越20个厂商的40个驱动中存在安全缝隙，进犯者可以乱用这些缝隙实现从用户空间（user space）到kernel的权限提高。
受影响的厂商包含BIOS厂商、核算机硬件厂商等，详细有：
American Megatrends International (AMI)
ASRock
ASUSTeK Computer华硕电脑
ATI Technologies  AMD
Biostar映泰
EVGA
Getac吉达电通
GIGABYTE千兆字节
Huawei华为
Insyde台湾系微
Intel英特尔
Micro-Star International (MSI)微星世界
NVIDIA英伟达
Phoenix Technologies凤凰科技
Realtek Semiconductor瑞昱半导体
SuperMicro超微型
Toshiba东芝
恶意进犯者运用这些缝隙可以让驱动成为对硬件资源进行高权限拜访的署理，如对处理器和芯片组I/O空间、Model Specific Registers (MSR), Control Registers (CR), Debug Registers (DR)、物理内存和kernel虚拟内存进行读写在了解了主从同步之后，我们还需求对redis的模块有所了解。拜访。

从kernel中，进犯者可以移动到固件和硬件接口，答应其绕过安全产品的检测来进犯主机。
在Windows中装置驱动需求管理员权限，并需求来自经过微软认证的可信方。代码需求由可信的CA安排进行签名来证明其真实性。假如没有签名，Windows就会对用户宣布告警。
Eclypsium研讨人员首要研讨的是Windows认可的含有有用签名的合法驱动。这些驱动并非恶意的，仅仅含有或许会被恶意程序乱用的缝隙。并且，这些驱动影响一切Windows的干流版别，包